María, ¡tengo un gran problema!

“Buenos días Maria, tengo un gran problema. Me ha entrado un virus que me ha bloqueado todos los archivos y me ha afectado incluso a las copias de seguridad. Nos están chantajeando solicitando dinero a cambio de desencriptarlo. Estoy muy preocupada porque acabamos de empezar y posiblemente esto sea nuestra ruina ya que se han cargado toda la información”.

Cuando enciendo el ordenador veo este mensaje que me reenvía una compañera con el asunto: URGENTE.

Ni con el mejor de los creativos podríamos crear un texto que reflejara la angustia y la problemática suscitada por un ciberataque. Y lo peor, es que ninguna empresa está exenta de este tipo de ataques. Es más, los especialistas dicen que ni se cuestiona si se sufrirá un ataque, sino cuándo. Los casos son innumerables. Desde la todopoderosa Facebook, a la Escuela de negocios IESE, el Corte Inglés, o la entidad encargada de custodiar los derechos de autor han sido víctimas recientes de una problemática, de que sólo sale a la luz una pequeña parte.

Como siempre la prevención es prioritaria. Para cuando todo ha fallado, van las siguientes líneas:

• Al estar ante una actividad delictiva, pondremos inmediatamente el caso en manos de la Policía, que cuenta con una unidad especializada de ciberdelincuencia.
• El informático de la empresa o, mejor aún, nuestra empresa especializada de ciberseguridad será la segunda prioridad.
• Seguidamente empezaremos a dar cumplimiento a la normativa del Reglamento de Protección de Datos. Vamos a dar nombre al incidente: se ha producido una brecha de seguridad, y activaremos el protocolo que debemos tener implantado en nuestra empresa. En el Registro de Incidencias, documentaremos la brecha producida, especificando amenaza, categorías y tipos de afectados y las consecuencias que se han producido.

La situación más delicada se produce cuando afecta a los derechos de los particulares. En este caso, deberá comunicarse la incidencia producida y las medidas adoptadas. Por último, lo notificaremos también  a la Agencia Española de Protección de Datos, en un plazo máximo de 72 horas desde que tuvimos conocimiento de la misma.

Las consecuencias negativas para nuestra entidad pueden ser múltiples. Frente a los particulares no está de más recordar el derecho que les asiste a obtener un resarcimiento por los perjuicios que se les han producido. En concreto, el artículo 82 del RGPD señala que “Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”. Para ello además del perjuicio directo a sus derechos, se tendrá muy en cuenta que la empresa ha actuado diligentemente en la adopción de las medidas de protección previas y de corrección de la brecha.

Las primeras actuaciones a que hemos tenido acceso de la Agencia Española de Protección de Datos no parecen incidir en el aspecto sancionador. Una vez recibida una denuncia del particular, o de oficio, la Agencia notifica un requerimiento, y solicita:

1. Copia de las comunicaciones y de la decisión adoptada que haya remitido al reclamante a propósito del traslado de esta reclamación

2. Informe sobre las causas que han motivado la incidencia que ha originado la reclamación

3. Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares. Un puntual cumplimiento de todo lo anterior evitará, en gran medida, la imposición de sanciones.

Nuestra perjudicada acudió a la Policía, que la informó de la frecuencia con que este tipo de delitos se producen. También activó el protocolo de actuación ante estos casos que se ha descrito. Afortunadamente al cabo de unos días recuperó la información, y no hubo otras consecuencias. En este caso la historia acabó felizmente, pero preparémonos para cuando no lo sea.

Jesús Medina Jaranay

Director Gerente Aucón Asesores, S.L.